Вскоре после того, как некоторые владельцы сетевого накопителя от компании Western Digital, My Book Live, по всему миру начала сообщать о том, что их устройства, а точнее профили и настройки, были «удалены удалённым образом в течение ночи», компания выпустила своё официальное заявление, в котором она обвиняет в этом одну конкретную уязвимость — CVE-2021-35941. И казалось-бы, на этом вопрос исчерпан, и всем владельцам Western Digital My Book Live остаётся только ждать того, пока компания не придумает способ, как она может помочь пострадавшим клиентам.
Однако внешнее расследование, проведённое техническим изданием Ars Technica, а также лично Дереком Абдином, техническим директором охранной фирмы под названием Censys, в результате показало, что некие злоумышленники воспользовались другой, пока-что никем не обнародованной и официально недокументированной уязвимостью в файле с весьма метким названнием — «system_factory_restore». Следует разъяснить, что обычно пользователи должны вводить свои пароли для того, чтобы иметь возможность выполнить сброс всех настроек на своих устройствах до заводских. И действительно, в результате повторного тестирования было обнаружено, что вышеназванный файл и в самом деле содержит в себе специальные строки для защиты паролем команды сброса.
Однако, как утверждают названные выше исследователи безопасности, «кто-то в Western Digital закомментировал» или же другими словами, отменил работу данной команды путём случайного добавления двойного повторения символа «/« в начале каждой строки. Данную оплошность уже успел прокомментировать и крайне авторитетный эксперт по безопасности по имени Эйч Ди Мур. В рамках интервью с изданием Ars Technica он заявил, что, во-первых, это крайне нехорошая новость для компании, а во-вторых: «Судя по всему, они намеренно выключили систему защиты таким образом, чтобы предоставить кому-то обход, поскольку злоумышленники должны знать формат сценария, запускающего сброс, чтобы использовать уязвимость».
Так или иначе, все без исключения устройства, которые подверглись взлому при помощи уязвимости CVE-2021-35941, уже были заражены специально созданным для этого вредоносным ПО. И уже сейчас нам известно о том, что и по крайней мере в одном из случаев внедрённое вредоносное ПО делает устройство My Book Live частью ботнета. И поскольку превращать вышеназванные устройства хранения в бот-сети, а затем очищать их, не имеет смысла, теория Дерека Абдина состоит в том, что за использованием данной уязвимости стоит один единственный хакер, а не группировка.
